통제목적

: 사용자의 업무 또는 직무에 필요한 응용프로그램만 사용할 수 있도록 권한을 제한해야 합니다. 또한 중요정보의 필요한 부분만 표시되도록해 불필요한 노출을 최소화해야 합니다.

세부 항목

1. 사용자의 업무(직무)에 따라 응용프로그램 접근권한 분류로 업무(직무)별 권한의 차등 부여 및 목적에

맞는 권한 부여의 최소화

2. 사용자 권한 및 법적 요구사항에 따라 중요 정보의 필요부분만 표시되는 기능 구현하여 중요 정보의

노출 최소화

3. 일정시간 동안 입력 없는 세션 타임아웃 설정으로 연결 차단

- 단, 세션 타임아웃의 예외는 타당성 검토 후 책임자 승인 필요

4. 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)

- 외부 오픈 차단

- 특정 위치 단말에서 접근 가능하도록 접근 통제 후 로깅

추가 확인사항

- '권한 변경 승인 내역서' 및 '업무별 권한 리스트' 확인

- 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 연결을 차단

(로그인 후 일정시간 이상 입력이 없는 계정은 자동 로그아웃 시켜 계정 도용으로 인한 피해를 방지)

(세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인 필요)

- 주요 응용프로그램은 같은 사용자 계정으로 동시에 접속할 수 없도록 구성

정책 예시

: 보안 담당자는 사용자의 업무(직무)에 따라 접근권한 차등 부여를 위해 사용자는 업무 정보를 전달합니다.

- Life Cycle을 이용해 사용자는 보안 담당자에게 해당하는 사용 프로그램에 권한을 요청합니다.

1. 업무(직무) 사용 프로그램 권한 요청 및 부여

- 프로그램 사용 권한 요청을 받은 보안 담당자는 인사팀에 요청자의 특이 사항 확인을 위해 이력에 대한 사항을 문의합니다.

- 인사팀에서는 보안 담당자에게 요청 받은 사용자의 정보를 확인하고 그에 대한 코멘트를 전달합니다.

- 보안 담당자는 인사팀의 확인을 거치고 사용자에게 요청 사항에 대한 권한 할당 내용과 주의사항에 대해서 코멘트를 통해 전달합니다.

- 사용자의 업무 또는 직무에 따라 접근 권한을 제한하고 불필요한 중요정보 노출을 최소화하기 위해 접근을 요청하는 사용자의 인사기록 파악 후 사용 프로그램에 대한 적합한 권한을 부여하여 응용 프로그램에 대한 접근통제를 관리합니다.

2. 권한 종료 안내

- 사용 일정이 종료됨에 따라 보안 담당자는 사용자에게 권한 종료에 대해서 코멘트를 통해 전달합니다.